Prélude
A nostra "amicizia" principia dui anni fà. Sò ghjuntu à un novu postu di travagliu, induve l'amministratore precedente hà lasciatu liberamente stu software cum'è un legatu per mè. In Internet, fora di a ducumentazione ufficiale, ùn si pudia truvà nunda. Ancu avà, se google "timone", in u 99% di i casi darà: timoni di navi è quadrocopters. Aghju riesciutu à truvà un modu. Siccomu a cumunità di stu software hè insignificante, decisu di sparte a mo sperienza è rake. Pensu chì serà utile à qualchissia.
Allora Rudder
Rudder hè una utilità di gestione di cunfigurazione è di auditu open source chì aiuta à automatizà a cunfigurazione di u sistema. Funziona nantu à u principiu di installà un agentu per ogni utilizatore finale. Attraversu una interfaccia user-friendly, pudemu osservà cumu a nostra infrastruttura cumpleta cù tutte e pulitiche specificate.
Usu
Sottu vi elencu per ciò chì aghju utilizatu Rudder.
-
U cuntrollu di u schedariu è a cunfigurazione: ./ssh/authorized_keys ; /etc/hosts ; iptables; (è allora induve a fantasia portarà)
-
Cuntrolla di i pacchetti installati: zabbix.agent o qualsiasi altru software
Installazione di u servitore
Recentemente aghju aghjurnatu da a versione 5 à 6.1, tuttu hè andatu bè. Quì sottu sò i cumandamenti per Deban/Ubuntu ma ci hè ancu supportu: и .
Ocultaraghju a stallazione in spoilers per ùn distrarvi.
spoiler
Dipendenze
rudder-server richiede Java RE almenu a versione 8, pò esse installatu da u repository standard:
Verificate per vede s'ellu hè stallatu
java -versionse output
-bash: java: command not foundpoi stallà
apt install default-jreServidor
Importà a chjave
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -Eccu l'impronta
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Siccomu ùn avemu micca un abbunamentu pagatu, aghjustemu u seguente repository
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listAghjurnate a lista di repositori è installate u servitore
apt update
apt install rudder-server-rootCrea un utilizatore amministratore
rudder server create-user -u admin -p "Ваш Пароль"In u futuru pudemu gestisce l'utilizatori attraversu a cunfigurazione
Eccu, u servitore hè prontu.
Sintonizazione di u servitore
Avà avete bisognu di aghjunghje l'indirizzi ip di l'agenti o una subnet intera à l'agente di timone, cuncintratu in a pulitica di sicurità.
Settings -> General
In u campu "Add a network" Inserite l'indirizzu è a maschera in u formatu xxxx/xx. Per permette l'accessu da tutti l'indirizzi di a reta interna (Se, sicuru, questu hè una rete di prova è site daretu à NAT), entre: 0.0.0.0/0
Impurtante - dopu à aghjunghje l'indirizzu ip, ùn vi scurdate di cliccà Salvà i cambiamenti, altrimenti nunda serà salvatu.
Porti
Apertura i porti seguenti nantu à u servitore
-
443 - tcp
-
5309 - tcp
-
514-udp
Avemu risoltu a configurazione iniziale di u servitore.
Installazione di l'agente
spoiler
Aghjunghjendu una chjave
wget --quiet -O- "https://repository.rudder.io/apt/rudder_apt_key.pub" | sudo apt-key add -impronta digitale chjave
pub 4096R/474A19E8 2011-12-15 Rudder Project (release key) <[email protected]>
Key fingerprint = 7C16 9817 7904 212D D58C B4D1 9322 C330 474A 19E8Aghjunghjendu un repository
echo "deb http://repository.rudder.io/apt/6.1/ $(lsb_release -cs) main" > /etc/apt/sources.list.d/rudder.listInstallazione di l'agente
apt update
apt install rudder-agentConfigurazione di l'agente
Specificate l'indirizzu ip di u servitore di pulitica à l'agente
rudder agent policy-server <rudder server ip or hostname> #Без скобок. Можно также использовать доменное имя Eseguendu u cumandimu seguitu, manderemu una dumanda per aghjunghje un novu agente à u servitore, in un paru di minuti appariscerà in a lista di novi agenti, spiegheraghju cumu aghjunghje in a sezione dopu.
rudder agent inventoryPudemu ancu furzà l'agente à inizià è mandarà a dumanda istantaneamente
rudder agent runU nostru agente hè stabilitu, andemu avanti.
Adding agenti
Login
https://127.0.0.1/rudder/index.html
U vostru agente apparirà in a sezione "Accetta novi nodi", verificate a casella è cliccate Accetta
Ci vole à piglià un pocu di tempu per u sistema per verificà u servitore per a conformità
Creazione di gruppi di servitori
Creemu un gruppu (chì hè sempre divertimentu), senza una idea perchè i sviluppatori anu fattu una furmazione di gruppi di hemorrhoid, ma cum'è l'aghju capitu, ùn ci hè micca altru modu. Andà à a gestione Node -> Gruppi rùbbrica è cliccate nant'à Crea, selezziunate un gruppu staticu è un nome.
Filtremu u servitore chì avemu bisognu di funziunalità speciale, per esempiu, per indirizzu IP, è salvà
U gruppu hè stallatu.
Stabbilimentu di regule
Andà à Pulitica di cunfigurazione → Regoli è crea una nova regula
Aghjunghjite un gruppu preparatu prima (questu pò esse fattu dopu)
E formemu una nova direttiva
Creemu una direttiva per aghjunghje chjavi publichi à .ssh/authorized_keys. Aduprà questu quandu un novu impiigatu parte, o per a riassicurazione, per esempiu, se qualchissia accidentalmente taglia a mo chjave.
Andà à Pulitica di cunfigurazione → Direttive à a manca vedemu "Biblioteca di direttive" Truvate "Accesu remotu → Chiavi autorizate SSH", à u dirittu cliccate Crea Direttiva
Entremu infurmazione nantu à l'utilizatore è aghjunghje a so chjave. Dopu, selezziunate a pulitica di l'applicazione
-
Global - Politica predeterminata
-
Enforce - Eseguite nantu à i servitori selezziunati
-
Audit - Realizà un auditu è dicerà chì i clienti anu a chjave
Assicuratevi di indicà a nostra regula
Allora salvate è avete finitu.
Verificendu
Chjave aghjuntu cù successu
Panini
L'agente furnisce infurmazione cumpleta nantu à u servitore. Elenchi di pacchetti installati, interfacce, porti aperti è assai di più, chì pudete vede in a screenshot sottu
Pudete ancu installà è cuntrullà u software micca solu in linux, ma ancu in Windows, ùn aghju micca verificatu l'ultime, ùn ci era micca bisognu ..
Da l'autore
Puderete esse dumandate, perchè reinventà a rota se l'ansible è u pupu sò digià inventati assai tempu fà?
Rispondu: Ansible hà difetti, per esempiu, ùn vedemu micca in quale statu sta cunfigurazione hè avà, o a situazione familiare quandu lanciate un rolu o playbook è l'errori di crash appariscenu, è cuminciate à cullà nantu à u servitore è vede ciò chì pacchettu hè statu aghjurnatu induve. È ùn aghju micca travagliatu cù pupi ..
Ci hè qualchì svantaghju à Rudder? A lot .. Partendu da u fattu chì l'agenti cascanu è avete da reinstallà o aduprà u cumandamentu di reset di timone. (ma per via, ùn aghju micca vistu questu in a versione 6), finiscinu cù una configurazione estremamente cumplessa è una interfaccia illogica.
Ci hè qualchì vantaghju? E ci sò ancu assai pluses: A cuntrariu di l'ansible ben cunnisciutu, avemu una interfaccia web in quale pudemu vede u cumplimentu applicatu da noi. Per esempiu, s'ellu si stanu i porti in u mondu, in quale statu si trova u firewall, se l'agenti di sicurezza o altri stray sò stallati.
Stu software hè perfettu per u dipartimentu di sicurità di l'infurmazioni, postu chì u statu di l'infrastruttura serà sempre davanti à i vostri ochji, è se qualcunu di e regule si illuminanu in rossu, allora questu hè un mutivu per visità u servitore. Cumu l'aghju dettu, aghju utilizatu Rudder per 2 anni, è se fuma un pocu, a vita hè megliu. A cosa più difficiuli in una grande infrastruttura hè chì ùn vi ricurdate micca in quale statu hè u servitore, se June hà mancatu l'installazione di l'agenti di sicurezza o s'ellu hà cunfiguratu iptables currettamente, ma u timone vi aiuterà à mantene l'attualità di tutti l'avvenimenti. Cuscenza significa armatu ! )
PS Hè risultatu assai più di ciò ch'e aghju previstu, ùn scriveraghju micca cumu installà i pacchetti, se di colpu ci sò richieste, scriveraghju una seconda parte.
PSS L'articulu hè per scopi informativi, aghju decisu di sparte, postu chì ci hè pocu infurmazione nantu à Internet. Forse questu serà interessante per qualchissia. Bon ghjornu, cari amichi)
I diritti di publicità
I servitori epici Is o Windows cù putenti processori di famiglia AMD EPYC è unità Intel NVMe assai veloci. Affrettatevi à l'ordine!
Source: www.habr.com